Bij het bouwen van vertrouwelijke clienttoepassingen is het effectief beheren van referenties essentieel. In dit artikel wordt uitgelegd hoe u clientcertificaten, federatieve identiteitsreferenties of clientgeheimen toevoegt aan uw app-registratie in Microsoft Entra. Met deze referenties kan uw toepassing zich veilig verifiëren en toegang krijgen tot web-API's zonder tussenkomst van de gebruiker.
Vereiste voorwaarden
Quickstart: Een app registreren in Microsoft Entra ID.
Een referentie toevoegen aan uw applicatie
Wanneer u toegangsgegevens aanmaakt voor een vertrouwelijke clientoepassing:
Microsoft raadt u aan een certificaat te gebruiken in plaats van een clientgeheim voordat u de toepassing naar een productieomgeving verplaatst. Zie voor meer informatie over het gebruik van een certificaat instructies in verificatiecertificaatreferenties voor microsoft-identiteitsplatformtoepassingen.
Voor testdoeleinden kunt u een zelfondertekend certificaat maken en uw apps configureren om ermee te verifiëren.
in productie-moet u echter een certificaat kopen dat is ondertekend door een bekende certificeringsinstantie en vervolgens Azure Key Vault- gebruiken om de toegang tot certificaten en levensduur te beheren.
Raadpleeg Toepassingenmigreren van authenticatie op basis van geheimen voor meer informatie over beveiligingsproblemen met clientgeheimen.
Een certificaat, ook wel een openbare sleutel genoemd, is het aanbevolen referentietype omdat het als veiliger wordt beschouwd dan clientgeheimen.
Selecteer uw toepassing in het Microsoft Entra-beheercentrum in App-registraties.
Selecteer Certificaten en geheimen>Certificaten>Certificaat uploaden.
Selecteer het bestand dat u wilt uploaden. Dit moet een van de volgende bestandstypen zijn: .cer, .pem, .crt.
Selecteer Toevoegen.
Noteer de vingerafdruk van het certificaat voor gebruik in de clienttoepassingscode.
Soms een toepassingswachtwoord genoemd, is een clientgeheim een tekenreekswaarde die uw app kan gebruiken in plaats van een certificaat om zichzelf te identificeren.
Clientgeheimen zijn minder veilig dan certificaat- of federatieve referenties en moeten daarom niet worden gebruikt in productieomgevingen. Hoewel ze handig kunnen zijn voor het ontwikkelen van lokale apps, is het noodzakelijk om certificaten of federatieve referenties te gebruiken voor toepassingen die in productie worden uitgevoerd om een hogere beveiliging te garanderen.
Selecteer uw toepassing in het Microsoft Entra-beheercentrum in App-registraties.
Selecteer Certificaten & geheimenKlantgeheimenNieuw klantgeheim.
Voeg een beschrijving voor uw clientgeheim toe.
Selecteer een vervaldatum voor het geheim of geef een aangepaste levensduur op.
- De levensduur van het clientgeheim is beperkt tot twee jaar (24 maanden) of minder. U kunt geen aangepaste levensduur opgeven die langer is dan 24 maanden.
- Microsoft raadt u aan een verloopwaarde van minder dan 12 maanden in te stellen.
Selecteer Toevoegen.
Noteer de waarde van het clientgeheim voor gebruik in de clienttoepassingscode. De waarde van het geheim wordt nooit meer weergegeven nadat u deze pagina hebt verlaten.
Opmerking
Als u een Azure DevOps-serviceverbinding gebruikt waarmee automatisch een service-principal wordt gemaakt, moet u het clientgeheim bijwerken vanaf de Azure DevOps-portalsite in plaats van het clientgeheim rechtstreeks bij te werken. Raadpleeg dit document over het bijwerken van het clientgeheim vanaf de Azure DevOps-portalsite: Problemen met azure Resource Manager-serviceverbindingen oplossen.
Federatieve identiteitsreferenties zijn een type referentie waarmee workloads, zoals GitHub Actions, workloads die worden uitgevoerd op Kubernetes of workloads die worden uitgevoerd op rekenplatforms buiten Azure toegang hebben tot met Microsoft Entra beveiligde resources zonder dat u geheimen hoeft te beheren met behulp van workloadidentiteitsfederatie.
Voer de volgende stappen uit om een federatieve referentie toe te voegen:
Selecteer uw toepassing in het Microsoft Entra-beheercentrum in App-registraties.
Selecteer Certificaten en geheimen>Federatieve referenties>Referentie toevoegen.
Selecteer in de vervolgkeuzelijst Federatieve referentiescenario's een van de ondersteunde scenario's en volg de bijbehorende richtlijnen om de configuratie te voltooien.
-
Door de klant beheerde sleutels voor het versleutelen van gegevens in uw tenant met behulp van Azure Key Vault in een andere tenant.
-
GitHub-acties die Azure-resources implementeren om een GitHub-werkstroom te configureren voor het ophalen van tokens voor uw toepassing en het implementeren van assets in Azure.
-
Kubernetes heeft toegang tot Azure-resources om een Kubernetes-serviceaccount te configureren voor het ophalen van tokens voor uw toepassing en toegang tot Azure-resources.
-
Andere uitgever om de applicatie zo te configureren dat deze vertrouwen heeft in een beheerde identiteit of een identiteit die wordt beheerd door een externe OpenID Connect-provider om tokens te verkrijgen voor uw applicatie en toegang te krijgen tot Azure-bronnen.
Zie Microsoft Identity Platform en de OAuth 2.0-clientreferentiestroomvoor meer informatie over het verkrijgen van een toegangstoken met een federatieve referentie.
Verwante inhoud
